文|深燃 王敏
編輯|金玙璠
網(wǎng)上沖浪多年,你可能對自己成為互聯(lián)網(wǎng)“透明人”并不意外,但當?shù)弥约旱男畔⑹侨绾伪皇占?、倒賣,還是否能依然保持冷靜?
就在2022年的3·15晚會上,央視用一個接一個觸目驚心的案例,讓消費者們再一次意識到在互聯(lián)網(wǎng)世界,想不“裸奔”有多難,信息泄露實在防不勝防。
從一天可能收集你的位置信息數(shù)萬次的“免費WiFi”、可能隨時都在監(jiān)聽監(jiān)控你家孩子的兒童智能手表,到瀏覽網(wǎng)頁時被“匹配”手機號碼、給你打騷擾電話背后的產(chǎn)業(yè)鏈,有用戶表示,看完信息泄露的潛在風險,感到頭皮發(fā)麻,“你覺得自己全副武裝,但是在對方眼里你卻是一絲不掛,毫無秘密”。
很難想象,在這些過度收集用戶信息的黑色產(chǎn)業(yè)鏈上,中小學生的智能手表也會被盯上,成為“行走的偷窺器”,而擁有手機的成年人,手機號碼更是被明碼標價,一個15元,服務商為了規(guī)避監(jiān)管,甚至會采用虛擬貨幣交易。
個人信息管理和泄露,是近幾年3·15晚會持續(xù)關注的焦點,本屆3·15晚會曝光的竊取個人信息的方式卻在持續(xù)迭代,有些可以靠用戶提高自我防范意識來解決,有些實在防無可防。盡管2021年有關部門一直在加大對APP過度收集用戶行為的規(guī)范力度,但不得不承認,個人信息保護依然任重而道遠,這一“頑疾”的連根去除依舊還需跨過一座座大山。
信息泄露了,你可能還一無所知
誰能想到,一款APP,一天收集你的位置信息的次數(shù)居然高達六萬次。
今年在3·15晚會上首次出現(xiàn)的“3·15信息安全實驗室”,專門對市場上的“免費WiFi”類APP進行了測試。測試人員發(fā)現(xiàn),很多APP打著“免費WiFi連接”的旗號,羅列的WiFi資源全都連接不上,這也就罷了,這些APP還會捆綁多個手機應用,每天推送彈窗廣告,像甩不掉的癩皮糖。
更可怕的是,這類APP可能會在后臺大量收集用戶信息。測試人員提到一個名叫越豹WiFi助手的APP,可以不斷自啟動,讀取用戶信息,推送彈窗廣告。還有一款叫“雷達WiFi”的應用程序,一天之內(nèi)訪問手機的位置信息,高達67899次。
“3·15信息安全實驗室”相關專家何延哲表示,上萬次,意味著,用戶從早到晚、包括睡覺,這些應用程序都在一直定位,可以把用戶的生活軌跡、行蹤全部串起來,掌握用戶的生活規(guī)律、職業(yè)、喜好。
雷達WiFi訪問次數(shù)逾6萬次 來源 / 3·15晚會
瞄上你的喜好、消費習慣、個人聯(lián)系方式的,還有越來越精準的騷擾電話。很多用戶可能會有這樣的經(jīng)歷,只是用手機瀏覽了某些網(wǎng)站,并沒有留下電話和個人信息,卻常常能接到相關行業(yè)的推銷電話。
來源 / 3·15晚會
晚會中,被曝光的杭州以漁公司相關人員介紹道,用戶都是近期用手機瀏覽過一些家具、裝修網(wǎng)站,雖然沒有留下電話號碼,但通過每個人手機上對應著一個MAC號(手機識別碼),就能匹配到用戶的手機,可以直接給用戶打電話。
中小學生更是信息泄露的高危區(qū),一塊看似其貌不揚的兒童智能手表,風險性卻極高。
兒童智能手表是父母們和孩子取得聯(lián)系、掌握孩子行蹤的重要載體,更是一些小學生社交的必備工具,已經(jīng)能融合人臉識別、高清拍照、社交、字典查詢、聽音樂、看視頻、健康檢測等多個智能功能。
防范意識不強的小學生,佩戴上低配版的兒童智能手表,很容易被誘導下載惡意程序,可能會泄露用戶的位置、聲音、影像等信息。根據(jù)央視報道,“3·15信息安全實驗室”的工程師為了測試,在以抽獎為由頭吸引小學生下載一款程序后,就將惡意程序植入了孩子的智能手表。
遠程控制兒童智能手表便可獲取位置 來源 / 3·15晚會
接下來,工程師通過遠程控制,就可以對孩子實時定位,在后臺通過多次采集孩子的移動軌跡,推斷孩子的活動范圍,比如她家離學校其實很近,大概兩三百米,5分鐘就能走到?;丶液?,孩子和姥姥聊天,通過調(diào)用手表里的麥克風,身在異處的工程師可以對談話內(nèi)容一清二楚。飯后,孩子在書桌前做手工,一舉一動也被隨時掌握。
問題出在,廠商給這款兒童智能手表搭載的是安卓4.4操作系統(tǒng),是近10年之前發(fā)布的版本,而最新版本已經(jīng)更新到了安卓12。為了節(jié)省成本,廠商搭載了過于老舊的系統(tǒng),而忽略了安全性,給了不法分子可乘之機。
還有一些低配版的兒童智能手表,搭載的是安卓9,操作系統(tǒng)看似較新,安裝APP時,系統(tǒng)會彈窗提示是否給予某個權限。用戶一旦拒絕授權,APP就會拒絕提供任何服務。比如,測試人員打開一款叫“天氣”的應用程序,它會出現(xiàn)一個彈窗,索要用戶的存儲權限,被拒絕后,會索要打電話權限,再次拒絕后又會索要定位權限,一直被拒絕后,這款APP就閃退了。這逼得用戶要使用服務,就不得不“交出”各種權限。
“不敢下單了”,有家長看到兒童智能手表被評價是“行走的偷窺器”,暫緩了給孩子購置的打算。
個人信息泄露的方式、環(huán)節(jié)眾多,但對于普通人而言,結果就只有一個,面臨的生命財產(chǎn)安全風險增多。
表面無關要緊的數(shù)據(jù),但如果“有心人”通過點、線、面將個人信息一點一點結合起來,實際上能夠?qū)σ粋€人了如指掌,進行精準營銷乃至詐騙。
個人信息已被明碼標價:一個手機號15元、用虛擬幣交易
都是誰在背后,悄悄盯著你的個人信息?
免費WiFi這類蹭網(wǎng)類APP,從誕生之日起,就一直因為安全性和隱私問題飽受詬病。
早在約四年前,工信部就曾專門通報了“蹭網(wǎng)”類APP。“WiFi萬能鑰匙”和“WiFi鑰匙”具有免費向用戶提供使用他人WiFi網(wǎng)絡的功能,涉嫌入侵他人WiFi網(wǎng)絡和竊取用戶個人信息。相關部門還特別提醒,WiFi網(wǎng)絡提供者應謹慎共享自己的WiFi網(wǎng)絡,并定期更換WiFi網(wǎng)絡密碼;WiFi網(wǎng)絡使用者應增強安全上網(wǎng)意識,謹慎使用WiFi“蹭網(wǎng)”類移動應用程序。
一直到2021年,上海消保委還專門發(fā)文提醒消費者,號稱“蹭網(wǎng)神器”的APP極有可能造成個人隱私信息的泄露和濫用。
“蹭網(wǎng)”類APP不僅可能過度收集用戶信息,還通過讓用戶躲不掉的彈窗廣告來牟利。
也因此,有評價稱,“蹭網(wǎng)神器”的真面目,其實是“帶毒的蘋果”。而騷擾電話的產(chǎn)業(yè)鏈更是有過之而無不及。
央視3·15晚會深扒了越來越精準的騷擾電話背后的產(chǎn)業(yè)鏈。這個產(chǎn)業(yè)鏈上的公司,將騷擾電話隱晦地稱為“陌拜”(陌生拜訪電話)。
杭州以漁每為客戶匹配一個陌拜手機號,收取3元左右。融營通信專門為一些電銷公司隱藏打陌拜時的主叫號碼,1分鐘0.1元,一年純話費收入將近一個億,服務大概兩萬多家客戶,其中打陌拜的,有80%以上。
電話信息從何而來?乘移信息技術有限公司業(yè)務經(jīng)理指出,抓取自身廣告頁面的用戶,管理后臺是可以看到客戶手機號碼的,價格為15元一條。
做類似業(yè)務的鄭州綠牽,一個月能獲得一百萬條用戶數(shù)據(jù),而且,為了規(guī)避監(jiān)管,會采用虛擬貨幣進行交易。
騷擾電話的產(chǎn)業(yè)鏈,還涉及了美股上市公司容聯(lián)云,其旗下容聯(lián)七陌的相關人員介紹道,通過幾十甚至上千的號碼池幫助客戶呼出,來規(guī)避投訴和監(jiān)管,平臺客戶達到了3萬多家。但2021年前三季度,容聯(lián)云依舊還處于虧損狀態(tài),財報顯示,營收為約7.55億元,凈虧損為約3.9億元。美東時間3月15日收盤,容聯(lián)云股價報收1.46美元,較開盤價下降了8.18%。
杭州以漁的工作人員也知道,這門生意是做不大的,一旦做大,反而風險越大。
至于兒童智能手表,作為一款可穿戴設備,其需求量呈逐年上漲趨勢。華經(jīng)產(chǎn)業(yè)研究院發(fā)布的《2021-2026年中國智能手表行業(yè)投資分析及發(fā)展戰(zhàn)略研究咨詢報告》顯示,2015-2020年我國兒童智能手表需求量逐年增長,從2015年的800萬件增長至2990萬件。
但由于全國性行業(yè)標準缺失、市場監(jiān)管力度不夠,兒童智能手表市場也出現(xiàn)信息及健康等安全隱患突出、產(chǎn)品過度娛樂社交化、產(chǎn)品質(zhì)量參差不齊、創(chuàng)新性和智能化成色不足、服務保障及生態(tài)構建被輕視等問題。
早在2019年,我國兒童智能手表就被曝出存在安全防護漏洞等問題。天眼查數(shù)據(jù)顯示,我國有近1.4萬家可穿戴設備相關企業(yè),52.0%的可穿戴設備相關企業(yè)分布在批發(fā)和零售業(yè)。超1500家可穿戴設備相關企業(yè)出現(xiàn)過經(jīng)營異常,占總量的11.0%。
兒童智能手表行業(yè)的發(fā)展,還需要訂立全國性的行業(yè)標準,重點解決產(chǎn)品面臨的安全、續(xù)航、服務等問題,共建共享開放性底層技術平臺,打造適用于智能手表領域的“安卓”系統(tǒng),及時糾偏產(chǎn)品過度娛樂社交化等傾向。
如何拒絕成為“透明人”?
在用戶數(shù)據(jù)成為關鍵的互聯(lián)網(wǎng)時代,個人信息泄露早已不算是新鮮話題,但所泄露的信息,以及信息泄露的方式卻在持續(xù)迭代。
比如去年3·15晚會,一些商家通過安裝人臉識別攝像頭,非法采集甚至濫用人臉信息,洞察用戶的年齡、身份甚至情緒以及消費習慣。
個人信息泄露后,用戶持續(xù)收到垃圾短信、騷擾電話都還是輕的,坑蒙拐騙的詐騙團伙一旦乘虛而入,錢財損失,甚至身份被冒用有了違法犯罪的記錄,這些都有可能發(fā)生。
那么,應該如何防止信息泄露,拒絕成為“透明人”呢?北京至普律師事務所首席合伙人、主任律師李圣對深燃表示,普通人首先需要提高隱私信息保護意識,不要隨意安裝不明APP,登錄非法網(wǎng)站,定期清理手機,如果有被要求填寫個人隱私信息的,需要再三確認其正當性和合法性。
也有行業(yè)人士提醒,大部分APP在下載安裝時都會被要求開通多項權限,包括通訊錄、攝像頭、短信、錄音、位置等,用戶在授權時要仔細閱讀,非必要的可以選擇“拒絕”。
但是,用戶提升自我防范意識,只能是第一道屏障。畢竟,像騷擾電話越來越精準,這種情況,用戶根本無法抵抗。
李圣提到,以本次3·15晚會曝光的信息泄露相關的幾種產(chǎn)業(yè)鏈為例,無一例外都違反了《個人信息保護法》。
2021年實施的《個人信息保護法》確定了個人信息保護和利用規(guī)則,對企業(yè)個人信息數(shù)據(jù)安全合規(guī)提出了新的要求。但從目前的情況來看,企業(yè)個人信息數(shù)據(jù)安全合規(guī)仍需要強化監(jiān)管,遏制這種商家野蠻生長、隨意侵害消費者的情形發(fā)生。
李圣認為,商家非法獲取個人信息,監(jiān)管部門可以責令改正,給予警告,沒收違法所得,責令暫?;蛘呓K止提供服務、罰款、停業(yè)整頓、吊銷營業(yè)執(zhí)照等行政處罰,還可以處罰直接負責的主管人員和其他直接責任人員。
江蘇天煦律師事務所律師沈媛對深燃指出,“公民個人信息”包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。
他提到,泄露個人信息情節(jié)比較嚴重的,需要承擔刑事責任?!睹穹ǖ洹芬?,違反國家有關規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
沈媛曾經(jīng)辦過一個案件,是股票銷售人員在工作過程中,將客戶的姓名、身份證、手機號等信息保存,后來有人愿意購買,他便打包賣了數(shù)十萬條,從中獲利了700多元,最后被判處了三年有期徒刑。個人信息黑色產(chǎn)業(yè)鏈的每個環(huán)節(jié),也都應該明白這其中的法律風險。
沈媛提醒,保護個人信息,個人層面再怎么謹慎都不夸張,企業(yè)更是應該承擔起本應肩負的責任。